在 Intune 中為 iOS/iPadOS 裝置設定個別應用程式的虛擬專用網 (VPN)

  • 發行項

在 Microsoft Intune 中,您可以建立及使用指派給應用程式 (VPN) 虛擬專用網。 此功能稱為 個別應用程式 VPN。 您可以選擇可在 Intune 管理的裝置上使用 VPN 的受控應用程式。 當您使用個別應用程式 VPN 時,終端使用者會自動透過 VPN 連線,並取得組織資源的存取權,例如檔。

本功能適用於:

  • iOS 9 和更新版本
  • iPadOS 13.0 及更新版本

檢查 VPN 提供者的檔案,以查看您的 VPN 是否支援個別應用程式 VPN。

本文說明如何建立個別應用程式 VPN 設定檔,並將此設定檔指派給您的應用程式。 使用下列步驟為您的終端使用者建立順暢的個別應用程式 VPN 體驗。 對於支援個別應用程式 VPN 的大部分 VPN,用戶會開啟應用程式,並自動連線到 VPN。

某些 VPN 允許使用個別應用程式 VPN 進行使用者名稱和密碼驗證。 也就是說,用戶必須輸入使用者名稱和密碼才能連線到 VPN。

重要事項

  • 在 iOS/iPadOS 上,IKEv2 VPN 配置檔不支援個別應用程式 VPN。

使用 Microsoft Tunnel 或 Zscaler 的個別應用程式 VPN

Microsoft Tunnel 和 Zscaler Private Access (ZPA) 與 Microsoft Entra ID 整合以進行驗證。 使用 Tunnel 或 ZPA 時,您不需要 (本文所述的受信任憑證或 SCEP 或 PKCS 憑證設定檔) 。

如果您已針對 Zscaler 設定個別應用程式 VPN 設定檔,則開啟其中一個相關聯的應用程式並不會自動連線到 ZPA。 相反地,用戶必須登入 Zscaler 應用程式。 然後,遠端訪問僅限於相關聯的應用程式。

必要條件

  • 您的 VPN 廠商可以有個別應用程式 VPN 的其他需求,例如特定硬體或授權。 在 Intune 中設定個別應用程式 VPN 之前,請務必查看其檔,並符合這些必要條件。

  • 從 VPN 伺服器匯出受信任的跟證書 .cer 檔案。 您會將此檔案新增至您在 Intune 中建立的受信任憑證配置檔,如本文所述。

    若要匯出檔案:

    1. 在您的 VPN 伺服器上,開啟管理控制台。

    2. 確認您的 VPN 伺服器使用憑證式驗證。

    3. 匯出受信任的跟證書檔案。 它具有 .cer 延伸模組。

    4. 新增發行憑證以向 VPN 伺服器進行驗證的證書頒發機構單位 (CA) 名稱。

      如果裝置所呈現的 CA 符合 VPN 伺服器上 [信任的 CA] 清單中的 CA,則 VPN 伺服器會成功驗證裝置。

    為了證明其身分識別,VPN 伺服器會出示必須接受的憑證,而不需要裝置提示。 若要確認憑證的自動核准,請在本文) 的 Intune (中建立受信任的憑證配置檔。 Intune 受信任的憑證配置檔必須包含 VPN 伺服器的跟證書 (.cer 檔案) 由證書頒發機構單位 (CA) 所發行。

  • 若要建立原則,請至少使用具有 Policy and Profile Manager 內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊,請移至 Microsoft Intune 的角色型訪問控制

步驟 1 - 為您的 VPN 使用者建立群組

在 Microsoft Entra ID 中建立或選擇現有的群組。 此群組:

  • 必須包含將使用個別應用程式 VPN 的使用者或裝置。
  • 將會收到您建立的所有 Intune 原則。

如需建立新群組的步驟,請移至 [新增群組] 來組織使用者和裝置

步驟 2 - 建立受信任的憑證配置檔

將 CA 所發行的 VPN 伺服器跟證書匯入 Intune 配置檔。 此跟證書是.cer您在本文) 的必要條件 (中導出的檔案。 受信任的憑證配置檔會指示 iOS/iPadOS 裝置自動信任 VPN 伺服器所呈現的 CA。

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>設定>建立]

  3. 輸入下列內容:

    • 平台:選取 [iOS/iPadOS]
    • 配置檔類型:選取 [信任的憑證]

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入設定檔的描述性名稱。 為您的配置檔命名,以便稍後輕鬆地識別它們。 例如,良好的配置檔名稱為 適用於整個公司的 iOS/iPadOS 受信任憑證 VPN 配置檔
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

  6. 選取[下一步]。

  7. 在 [ 組態設定] 中,選取資料夾圖示,然後流覽至您從 VPN 管理控制台導出的 VPN 憑證 (.cer 檔案) 。

  8. 取 [下一步],然後繼續建立您的配置檔。 如需詳細資訊,請移至 建立 VPN 設定檔

    在 Microsoft Intune 和 Intune 系統管理中心,為 iOS/iPadOS 裝置建立受信任的憑證配置檔。

步驟 3 - 建立 SCEP 或 PKCS 憑證配置檔

您在 步驟 2 中建立的受信任跟證書設定檔可讓裝置自動信任 VPN 伺服器。

在此步驟中,請在 Intune 中建立 SCEP 或 PKCS 憑證配置檔。 SCEP 或 PKCS 憑證會提供從 iOS/iPadOS VPN 用戶端到 VPN 伺服器的認證。 憑證可讓裝置以無訊息方式進行驗證,而不會提示輸入使用者名稱和密碼。

若要在 Intune 中設定及指派客戶端驗證憑證,請移至下列其中一篇文章:

請務必設定憑證以進行客戶端驗證。 您可以直接在SCEP憑證配置檔中設定客戶端驗證, (擴充金鑰使用 方式清單 >客戶端驗證) 。 針對 PKCS,請在證書頒發機構單位的證書範本中設定客戶端驗證, (CA) 。

在 Microsoft Intune 和 Intune 系統管理中心建立 SCEP 憑證配置檔。包含主體名稱格式、金鑰使用方式、擴充金鑰使用方式等等。

步驟 4 - 建立個別應用程式 VPN 設定檔

此 VPN 設定檔包含具有用戶端認證的 SCEP 或 PKCS 憑證、VPN 連線資訊,以及可啟用 iOS/iPadOS 應用程式所使用之個別應用程式 VPN 的個別應用程式 VPN 旗標。

  1. [Microsoft Intune 系統管理中心] 中,選取 [裝置>>設定建立]

  2. 輸入下列屬性,然後選取 [ 建立]

    • 平台:選取 [iOS/iPadOS]
    • 配置檔類型:選取 [VPN]

  3. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入自訂配置檔的描述性名稱。 為您的配置檔命名,以便稍後輕鬆地識別它們。 例如,良好的配置檔名稱是 myApp 的 iOS/iPadOS 個別應用程式 VPN 配置檔
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

  4. 在 [組態設定] 中,進行下列設定:

    • 線上類型:選取您的 VPN 用戶端應用程式。

    • 基底 VPN:設定您的設定。 iOS/iPadOS VPN 設定 會描述所有設定。 使用個別應用程式 VPN 時,請務必設定下列屬性,如下所示:

      • 驗證方法:選取 [憑證]
      • 驗證憑證:選取現有的SCEP或PKCS憑證 >[確定]
      • 分割通道:選 取 [停用] 以強制所有流量在 VPN 連線作用中時使用 VPN 信道。

      此螢幕快照顯示每個應用程式的 VPN 配置檔、IP 位址或 FQDN、驗證方法,以及 Microsoft Intune 和 Intune 系統管理中心的分割通道。

      如需其他設定的資訊,請移至 iOS/iPadOS VPN 設定

    • 自動 VPN>自動 VPN 的>類型個別應用程式 VPN

      此螢幕快照顯示在 Microsoft Intune 中,將 iOS/iPadOS 裝置上的自動 VPN 設定為個別應用程式 VPN。

  5. 取 [下一步],然後繼續建立您的配置檔。 如需詳細資訊,請移至 建立 VPN 設定檔

步驟 5 - 建立應用程式與 VPN 配置檔的關聯

新增 VPN 設定檔之後,請將應用程式和 Microsoft Entra 群組與配置檔建立關聯。

  1. [Microsoft Intune 系統管理中心] 中,選取 [所有應用程式>]

  2. 從 [屬性>指派編輯] 列表>中選>應用程式。

  3. 移至 [註冊裝置的必要或可用] 區段。

  4. 選取 [新增群組> ] 選取您在本文中 (建立 的群組) >選取]

  5. [VPN] 中,選取您在本文中 (建立 的個別應用程式 VPN 配置檔) 。

    顯示在 Microsoft Intune 和 Intune 系統管理中心將應用程式指派給個別應用程式 VPN 設定檔的兩個螢幕快照。

  6. 選取 [確定>儲存]

當下列所有條件都存在時,應用程式與配置檔之間的關聯會維持,直到使用者要求從 公司入口網站 應用程式重新安裝為止:

  • 應用程式是以 可用 的安裝意圖為目標。
  • 配置檔和應用程式會指派給相同的群組。
  • 終端使用者要求在 公司入口網站 應用程式中安裝應用程式。 此要求會導致應用程式和配置檔安裝在裝置上。
  • 您可以從應用程式指派中移除或變更個別應用程式 VPN 設定。

當下列所有條件都存在時,會在下一次裝置簽入期間移除應用程式與配置檔之間的關聯:

  • 應用程式是以 必要的 安裝意圖為目標。
  • 配置檔和應用程式會指派給相同的群組。
  • 您會從應用程式指派中移除個別應用程式 VPN 設定。

確認 iOS/iPadOS 裝置上的連線

設定個別應用程式 VPN 並與您的應用程式相關聯之後,請確認連線可從裝置運作。

嘗試連線之前

  • 請確定您將本文中所述的所有原則部署到相同的群組。 否則,個別應用程式 VPN 體驗將無法運作。

  • 如果您使用 Pulse Secure VPN 應用程式或自訂 VPN 用戶端應用程式,則可以選擇使用應用程式或封包層通道:

    • 針對應用層通道,請將 ProviderType 值設定為 app-proxy
    • 針對封包層通道,請將 ProviderType 值設定為 封包通道

    請檢查 VPN 提供者的檔,以確定您使用的是正確的值。

使用個別應用程式 VPN 進行連線

不需要選取 VPN 或輸入您的認證,即可連線以驗證零觸控體驗。 零觸控體驗表示:

  • 裝置不會要求您信任 VPN 伺服器。 這表示使用者看不到 [動態信任 ] 對話方塊。
  • 使用者不需要輸入認證。
  • 當用戶開啟其中一個相關聯的應用程式時,使用者的裝置會連線到 VPN。

資源